1.

Debilidades, amenazas y ataques

Proceso

14%
Índice
1.1 Tipos de atacantes
1.2 Motivaciones del atacante
1.3 Metodología de un atacante
determinado
1.4 Vulnerabilidades y ataques comunes
1.5 Herramientas de hacking
1.6 Ingeniería social
1.7 Prevención de ataques
1.8 Respuesta a contingencias
1.1 TIPOS DE ATACANTES
 Hacker
Un hacker es simplemente una persona con altos
conocimientos informáticos que utiliza sus
capacidades y habilidades para descubrir
vulnerabilidades en las redes y sistemas informáticos.
La motivación primordial de un hacker es la búsqueda del
conocimiento para sí y para la comunidad hacker.
Penetrar en los sistemas y redes de información buscando
información vulnerable es toda una profesión en sí. En la
industria de la seguridad informática a esta actividad se
le denomina hacking ético.
Todas las grandes empresas del mundo necesitan los servicios de
expertos informáticos que puedan validar la seguridad de sus sistemas
y redes computacionales.
Estos trabajos obviamente son ejecutados por hackers previa
autorización bajo un acuerdo contractual de los servicios, ya que estos
son los que conocen los entresijos y el verdadero funcionamiento de
las últimas técnicas de penetración y asalto de información.
 Ciberdelincuente
Ahora bien, un ciberdelicuente es un individuo que se aprovecha
de las vulnerabilidades de las redes y sistemas de información
para llevar a cabo actos considerados criminales por ley: robo
de información, destrucción de información, extorsión, divulgación
de información confidencial, distribución de pornografía infantil,
envío de correo basura, terrorismo, fraudes, robo de identidad,
falsificación de información, piratería, etc.
Hackers éticos o White Hat Hackers
(Hackers de sombrero blanco)

Ciberdelincuentes o Black Hat Hackers

(Hackers de sombrero negro).
1.2 MOTIVACIONES DEL ATACANTE
EL VALOR DE LA INFORMACIÓN
“Los datos son el petróleo del siglo
XXI”: una frase tan repetida como cierta.
La enorme y creciente cantidad de dispositivos conectados, los millones
de datos generados cada segundo y, sobre todo, la capacidad de
analizar y aprovechar esta información de múltiples formas ha
convertido a los datos en la materia más valiosa del momento.
Un botín más que apetitoso para la proliferación
de los hackers y el cibercrimen.
En este contexto, la seguridad cibernética se ha convertido en uno de
los desafíos más importantes a los que hoy se enfrentan las empresas
y la sociedad. La gran expansión tecnológica ha masificado la accesibilidad
a internet y a los servicios web digitales. Por ende, también se han
multiplicado los posibles canales de ciberataques, así como el impacto que
estos pueden tener sobre organizaciones y empresas.
Antes solo nos enterábamos de hackeos de información por noticias o
eventos concretos, limitado a asuntos de espionaje gubernamentales (por
ejemplo, las sonadas filtraciones del estadounidense Edward Snowden).
Actualmente esto se ha transformado en una amenaza real, no tan
limitada, que nos toca muy de cerca.

“WannaCry” consiste en un virus de tipo ransomware

(cibersecuestro) que ha infectado a cientos de miles de
ordenadores alrededor del mundo y generado pérdidas
millonarias, así como pagos de rescate por cifras
desmesuradas. WannaCry ha tenido más víctimas de las
declaradas, según publica El País. Las aseguradoras de
riesgos estiman el costo potencial del ataque en 4.000
millones de dólares.

Haz clic sobre la imagen para ver el

artículo sobre la actualidad del WannaCry.
Actualmente un ataque cibernético es una amenaza real que puede suponer
un duro golpe en el centro de las organizaciones.

Las consecuencias para las empresas que no implementan medidas firmes y

concretas de seguridad y que no capacitan y conciencian a su personal sobre
los cuidados a tener pueden ser muy graves: desde peligrosas interrupciones
operacionales hasta la destrucción irreversible de un negocio.
Por otro lado, las empresas dependen de los sistemas de tecnología informática en
sus procesos productivos, lo cual hace esta situación más crítica. Los atacantes
más adentrados en el mundo cibernético siempre van a estar por delante de
los proveedores de servicios de seguridad y del departamento de informática de
una empresa, por lo que las empresas deben estar prevenidas y preparadas ante un
posible ataque cibernético.
Por ello, es aconsejable asumir que la empresa puede sufrir un
ataque cibernético en algún momento.
Las consecuencias que este tenga dependerán en gran medida de si se está
preparado para ello o no. La inversión en seguridad de la información y
protección de datos no debe considerarse como un parche para
postergar otras áreas estratégicas. En realidad es la base necesaria para el
desarrollo sostenido de ellas.
1.3 METODOLOGÍA DE UN ATACANTE DETERMINADO
Amenazas,
vulnerabilidades
y riesgos
Definiciones,
relaciones y
diferencias
Estos tres términos están muy relacionados entre sí y
habitualmente suelen confundirse, sin embargo, es muy
importante saber identificarlos de forma correcta.

¡Vamos allá!
 Vulnerabilidades
Amenaza Debilidades o errores
Se trata de una acción en los sistemas que
o acontecimiento que pueden ser utilizados en
puede causar contra de la propia
potenciales efectos empresa, para causar
un incidente o perjuicio.
negativos sobre los
activos de la Riesgo
organización. La probabilidad de
que ocurra un
incidente de seguridad.
Tipos de amenazas
Según su origen
Según su propósito

¡Vamos a verlas!
Según su
origen

Internas
Se originan de forma interna en
Externas la empresa.
Se originan de forma externa al Son las más peligrosas, ya que
perímetro de la organización. son mucho más difíciles de
controlar y mitigar. Pueden
Los atacantes se encuentran fuera de la
proceder de los propios empleados o
empresa e intentarán encontrar los
de importantes fallos de seguridad.
procedimientos o vulnerabilidades de la misma
para acceder a información privilegiada.
Según su
propósito

Accidentales
No premeditadas, ya sea por
Intencionadas accidente, desconocimiento,
error o descuido, pero que de
Con el objetivo de causar un igual forma ponen en peligro los
perjuicio (robo, destrucción o activos de la organización
(las relacionadas con fenómenos
manipulación de información son naturales, la falta de políticas o la
algunos ejemplos de este tipo de incorrecta formación de los responsables
amenazas). serían algunos de los ejemplos de estos
tipos de amenazas).
1.4 VULNERABILIDADES Y ATAQUES COMUNES
Las vulnerabilidades son una puerta abierta para posibles ataques, hay que tenerlas siempre
presentes porque podrían ser aprovechadas en cualquier momento.

Clasificación de vulnerabilidades según su origen

Diseño
Debilidad en el diseño de las redes informáticas, de los procesos o de su protección.
Políticas de seguridad incompletas o inexistentes.
Implementación

Errores o fallos de programación.

Sistemas informáticos desactualizados o mal estructurados.
Errores de fabricante.
Vulnerabilidades de peligro extremo, llamadas de día cero (aquellas que han sido descubiertas por los
ciberdelincuentes, pero el funcionamiento es desconocido por los usuarios y fabricantes, de modo que todavía no se
conoce una posible solución). Estas vulnerabilidades son muy valiosas y demandadas, llegando los interesados a
pagar cantidades astronómicas por ellas.
Errores de uso
Configuración incorrecta de sistemas informáticos.
Desconocimiento, falta de concienciación o formación para los trabajadores y responsables.
Uso de aplicaciones no seguras o uso incorrecto de aplicaciones seguras.
 Tipos de vulnerabilidades según
afecten a nuestros sistemas.
Vulnerabilidades ya conocidas sobre
aplicaciones o sistemas instalados.
Vulnerabilidades ya conocidas por los
desarrolladores de los programas y para las que ya
existe una solución en forma de parche o
actualizaciones. Hay listas de correos oficiales
relacionadas con las vulnerabilidades conocidas y
sus respectivos parches.
 Vulnerabilidades conocidas sobre
aplicaciones no instaladas.
Vulnerabilidades conocidas por los
desarrolladores pero sobre las que no tendremos
que actuar por no tener instalada en nuestro
sistema la aplicación susceptible de ser atacada.
 Vulnerabilidades aún no conocidas.
Aquellas que no están detectadas por los desarrolladores del programa y, que en
caso de ser encontrada por una persona ajena a la empresa, se podría utilizar
contra todos los equipos que tengan instalado dicho programa.
Para los desarrolladores es fundamental estar siempre al tanto de cualquier
vulnerabilidad que sea encontrada en sus programas, por ello, es habitual que
empresas como Microsoft dispongan de secciones dedicadas en exclusiva a esto,
como es el MSRC (Microsoft Security Response Center), cuya función será evaluar
los informes de clientes sobre posibles vulnerabilidades, preparar y divulgar
revisiones y boletines que respondan a estos informes.
G Además de los tipos comentados, dependiendo del grado
R de gravedad de las vulnerabilidades, los expertos las
clasifican en base a las siguientes 4 categorías:
A
V Baja
E La vulnerabilidad más débil que hay y, por tanto, la que tendrá
un impacto menor sobre nuestro sistema informático o
D aplicación. Se le puede hacer frente fácilmente y no tendremos
A problema alguno en reducir dicho impacto.

D Media o moderada
Vulnerabilidad fácil de atajar, aunque tendrá un mayor
impacto que la baja. Las consecuencias negativas se pueden
minimizar haciendo uso de herramientas como auditorías o
configuraciones ya usadas anteriormente.
G
R
A De gran importancia
V Estas ya son peligrosas teniendo un mayor impacto sobre nuestros
sistemas informáticos y aplicaciones, pudiendo comprometer la
E confidencialidad de datos o recursos , viéndose afectada también la
D integridad de los mismos.

A Crítica
D La vulnerabilidad que peores consecuencias negativas para nuestro
sistema puede acarrear. Es un tipo de debilidad que hace que se
desarrolle y expanda una amenaza sin hacer falta que un usuario la
ejecute.
Vulnerabilidades específicas IoT
Es crucial prestar atención a las vulnerabilidades relacionadas
específicamente con los dispositivos IoT (Internet de las cosas),
que recientemente han adquirido una gran relevancia.

En los últimos años han ocurrido importantes incidentes de

seguridad relacionados con dispositivos IoT, como por ejemplo
frigoríficos y cámaras conectadas a internet que se han utilizado
para realizar ataques controlados a grandes sistemas
informáticos, manipulación no autorizada de vehículos de marcas
muy conocidas o cajeros automáticos que han sido controlados
para que expulsaran dinero en momentos determinados.
En los próximos años se incrementará exponencialmente el
número de dispositivos de uso diario y cotidiano que estarán
conectados a internet y que dispondrán de posibles
vulnerabilidades que permitan a ciberdelincuentes utilizarlos para
realizar un ataque o acceder a las redes corporativas.

Prácticamente cualquier dispositivo conectado a internet puede ser

usado como puerta de entrada para acceder a la red de una
empresa. Si se aplican las medidas necesarias para prevenir los
riesgos de ciberseguridad, estaremos evitando posibles amenazas.
Vulnerabilidades web más comunes
Cross-site scripting o vulnerabilidad XSS

Inyección SQL

Insecure Direct Object Reference (Referencia Directa a un Objeto)

Cross-site request forgery (falsificación en sitios cruzados)

Manejo incorrecto de errores

Error para restringir un acceso URL

Haz clic sobre cada uno de ellas.

 VOLVER

Cross-site scripting o vulnerabilidad XSS

Tipo de vulnerabilidad donde los atacantes explotan la confianza que
inspira una plataforma en el usuario. ¿Qué hace esta vulnerabilidad?
Desde redirigir a otro sitio web para el robo de información mediante, por
ejemplo, phishing, hasta hacer que se descargue algún tipo de malware y
hacer que se ejecute.
 VOLVER

Inyección SQL
Tipo de vulnerabilidad que sucede a nivel de la base de datos de una
aplicación web. Esta debilidad hace que un atacante pueda acceder a
datos vía web y tener control sobre la misma.
Por lo tanto, una inyección SQL podemos decir que es una petición de
algún tipo de acción sobre una base de datos. De esta forma, un atacante
podrá crear, leer, actualizar, modificar o eliminar datos de dicha base de
datos, como datos de tarjetas de crédito, información financiera o
números de la seguridad social.
 VOLVER

Insecure Direct Object Reference

(Referencia Directa a un Objeto)
Una aplicación web vulnerable a este tipo de ataques permite el acceso a
los datos de su base de datos (ficheros, directorios o registros) a partir
de un enlace a una URL o a un parámetro de un formulario. Los
atacantes podrán manipular estas referencias a su antojo para acceder a
otros objetos sin ningún tipo de autorización.
 VOLVER

Cross-site request forgery

(Falsificación en sitios cruzados)
Un ataque CSRF (Cross-Site Request Forgery) fuerza al navegador
habilitado de una víctima a enviar un apetición a la aplicación web
vulnerable, la cual realizará la acción elegida por la víctima. Esto es debido
a la que la aplicación web tiene una estructura de invocación predecible,
aprovechándose del uso de las web de cookies, autentificación del
navegador o certificados de cliente.
 VOLVER

Manejo incorrecto de errores

Hay muchas aplicaciones web que a través de sus mensajes de error
ofrecen información que puede ser utilizada por cualquier atacante que
esté alerta, es decir, filtran involuntariamente información sobre su
configuración y funcionamiento, lo que puede acarrear una puesta en
marcha o automatización de los ataques más críticos.
 VOLVER

Error para restringir un acceso URL

Vulnerabilidades específicas que incluyen acceso y explotación de
información sensible, URL´s ocultos y especiales, artículos y códigos de
seguridad que evalúan los privilegios. El método de ataque incluye enlaces
y el uso de técnicas de fuerza bruta que aprovechan dichas debilidades,
teniendo como resultado obtener el control de acceso para que el
navegador y las aplicaciones eludan los controles integrados en el código
que se envía al propio navegador.
Vulnerabilidades en Windows
El sistema operativo de Microsoft es el
más utilizado a lo largo y ancho del
planeta. Esto le convierte en el más
atractivo para los ciberdelincuentes, ya
que si encuentran una vulnerabilidad,
llegarán a muchas más víctimas que
con cualquier sistema operativo.

Además, cabe señalar que es el sistema

operativo de entre lo más utilizados y
que menos vulnerabilidades tiene,
aunque sea el más atacado, claro está…
Vulnerabilidades en UNIX y MAC OS
A diferencia de lo que se suele pensar,
no son estos sistemas operativos más
seguros que Windows. La diferencia
está en el numero de productos
instalados en los ordenadores, como ya
hemos comentado.

Te recomendamos el siguiente enlace,

que, aunque está en inglés, es muy
intuitivo para ver las vulnerabilidades
encontradas en cada sistema operativo,
por vendedor o por producto, para
hacerte una mejor idea.

https://www.cvedetails.com/
1.5 HERRAMIENTAS DE HACKING
Malware
Acrónimo del ingles malicious software,
también llamado software malicioso y
cuya traducción literal al español es
código malicioso.
Su principal función es infiltrarse en lo
sistemas para dañar o robar datos e
información, por lo tanto, serán capaces
de ejecutar acciones no deseadas en un
sistema informático, siendo una de las
principales fuentes de preocupación
para los responsables de la seguridad
informática.
Tipos de código
malicioso
Virus
Worm (gusano)
Troyano
Keylogger
Spyware
Adware
Haz clic sobre cada uno de ellos.
Virus
Un virus es capaz de infectar
archivos extendiéndose por todo el
equipo una vez ha sido ejecutado
por el usuario, quien no es
consciente de ello, ya que ha
permanecido inactivo hasta ese
momento. Por lo tanto, cuando es
ejecutado por el propio usuario es
capaz de eliminar ficheros,
directorios y datos sin autorización.
VOLVER
Worm
(gusano)
A diferencia de los virus, no se necesita
que un usuario los ejecute para que
empiecen a infectar. Este tipo de
malware infecta los archivos de un
equipo para difundirlos a otros, es decir,
tienen la capacidad de extenderse sin
necesidad de que un usuario los ejecute.
Funcionan alojándose en un sistema y
creando infinitas copias con lo que
colapsarán la red o el dispositivo, no
permitiendo realizar ningún trabajo. VOLVER
Troyano
Este malware tiene una apariencia de
programa fiable en un principio, pero
una vez que es activado o abierto se
ejecuta automáticamente,
normalmente, con el objetivo de
hacerse con el control del equipo.

VOLVER
Keylogger
Este software dañino es capaz de
registrar cualquier pulsación en el
teclado, con lo que conlleva la transmisión
de mucha información que es utilizada
para apoderarse de nombres de usuario y
contraseñas y demás datos del usuario
del equipo informático infectado.

VOLVER
Spyware
Como su propio nombre indica, su
objetivo principal es el robo de
información, desde mensajes de correos
electrónicos hasta números de tarjetas de
crédito.

VOLVER
Adware
Son programas diseñados para
invadir de publicidad no deseada
nuestro equipo, mostrándola a
través de banners, pop-ups o Vídeo bloqueadores de publicidad
nuevas ventanas en el explorador. https://player.vimeo.com/video/321193446?h=4187e1431e
Hay veces que tienen un segundo
objetivo que es conseguir
información sobre nuestra
actividad en la red.

VOLVER
Amenazas APT
Los procesos APT (Advanced Persistant Threat) son procesos dirigidos
específicamente a conseguir un objetivo concreto. Normalmente, tratan de robar
información a corporaciones o empresas, aunque pueden dirigirse a una persona o
colectivo determinado.
Estos procesos requieren un largo periodo de preparación por parte del atacante, puede
llevar incluso años conseguir esa alta capacitación, requiere una gran motivación y una
importante inversión económica para poder ejecutarse. Sin embargo, los beneficios que
proporcionan estos ataques a los ciberdelincuentes son exponencialmente proporcionales
al tiempo e inversión que realizan.
El ciclo de vida de un proceso APT consta de varias fases:
Recolección de información: en la primera fase se realiza una amplia recolección de
información de todas las fuentes posibles que puedan ayudar a conseguir el objetivo
definido, se aplican diversas técnicas de ingeniería social.

Intrusión en la red: la finalidad de esta fase es acceder a los sistemas que van a
proporcionar una información valiosa, por lo que se emplearán todo tipo de técnicas
(incluidas vulnerabilidades de día cero) para conseguirlo.

Establecimiento de conexión de salida: en el momento en el que el ciberdelincuente

accede a los sistemas o redes, establecerá métodos de conexión de salida lo más seguros posible,
para poder transferir los datos al exterior sin ser detectado y evitar poner en alerta a la víctima.
Propagación: en esta fase se propaga el ataque a todos los sistemas, equipos y
servicios que estén en la red, con el objetivo de conseguir la mayor cantidad de
información posible.

Extracción de información: el atacante extrae la información, de forma

estratégica y en pequeñas dosis para no levantar sospechas. Sin embargo, la
información puede ser filtrada en enormes cantidades, ya que se trata de ataques
persistentes, en los que se obtiene información durante largos periodos de tiempo.

Eliminación de huellas: esta fase es en realidad un proceso continuo que se realiza durante
todas las fases; una vez se ha conseguido el acceso a los sistemas, el atacante debe evitar levantar
sospechas o ser localizado.

Es muy difícil protegerse de este tipo de ataques, será necesario

desplegar medidas de “defensa en profundidad” combinadas con
estrategias de defensa temprana y políticas eficaces de seguridad.
Seguridad en las redes sociales
El uso de las redes sociales es un hábito de los usuarios y los ciberdelincuentes son conscientes
de ello, por lo que la presencia de estafas y todo tipo de malware está en alza.
Cualquier oportunidad es buena para engañar al usuario y los ciberdelincuentes se valen de temas de
actualidad o electrónica de consumo que variarán en función de la época del año, utilizando desde sorteos
inexistentes hasta vídeos con contenido llamativo, pasando por campañas de spam, enviando avisos falsos
sobre, por ejemplo, problemas de seguridad en la cuenta, con lo que conlleva el facilitar credenciales: uso
fraudulentos de los mismos o venta en el mercado negro.

Vamos a ver un vídeo donde nos hablan del problema de la redes sociales y selfies hoy en día.
Vídeo redes sociales y selfies
https://player.vimeo.com/video/322246237?h=bc077469e0
1.6 INGENIERÍA SOCIAL
Ingeniería Social
Se refiere a la habilidad de manipular o
influir en las acciones o actuaciones de
las personas, con el fin de que el
manipulador pueda conseguir alcanzar
un cierto objetivo.
 Kevin Mitnick, uno de los hackers más importantes y buscados en la década de los 90, afirmó que
la ingeniería social se basa en 4 principios fundamentales:

“El primer
“A todos nos movimiento es “No nos gusta “Todos
gusta que nos siempre de decir no, solo queremos
alaben” confianza decir sí” ayudar”
hacia el otro”

Los ciberdelincuentes suelen tener estos principios claros y asumidos y los

utilizan para conseguir obtener lo que desean de las víctimas, teniendo
conciencia de que el eslabón más débil de la seguridad siempre es el propio
usuario.
Técnicas
Las técnicas usadas en la ingeniería social suelen clasificarse en función de
la interacción que el ciberdelincuente tiene con la víctima:

Pasivas No presenciales
Se basan en la observación Son aquellas que se basan en solicitudes
del comportamiento de la de información, a través de llamadas,
víctima, con el objetivo de emails, suplantación de identidad digital
establecer un perfil como phishing, etc. De esta manera
psicológico, sus hábitos, tratan de obtener información de la
sus gustos, aficiones, etc. víctima. Esta es la técnica de ingeniería
social más extendida.
 Presenciales
no agresivas Agresivas
Consisten en el seguimiento de la Se cimentan en la presión
víctima. Incluye la vigilancia de psicológica y suplantación
domicilios y la búsqueda y análisis de identidad, ya sea de la
de información real en su entorno propia víctima, familiares o
(oficina, apuntes o notas amigos o técnicos de
personales, compañeros o compañías de servicios.
amistades, basura, etc.).
 Phishing
También llamado suplantación de identidad,
se basa en una de las técnicas de ingeniería
social más utilizada, la no presencial.

El método más habitual consiste en que el

ciberdelincuente envía uno o varios correos
electrónicos a la víctima, haciéndose pasar por
una empresa o por un contacto de confianza
(familiar o amigo) y le pide que se descargue un
archivo infectado por malware o que haga clic
en un enlace malicioso.
 4 Fases
básicas
1 El ciberdelincuente busca y recoge información
sobre las víctimas. De forma frecuente, realiza la
compra de datos personales a redes especializadas
en el tráfico ilegal de datos.

2 Se comete el phishing propiamente dicho. El ciberdelincuente envía correos

electrónicos de forma masiva a posibles víctimas, suplantando la identidad de
compañías bancarias o empresas que cuentan con datos financieros del usuario,
junto con web falsas duplicadas, que solicitan las claves de acceso a dichas cuentas.
 4 Fases
básicas
3 El ciberdelincuente realiza retiradas de dinero de las
cuentas de las víctimas y se transfieren a cuentas de
intermediarios, normalmente gente sin recursos y el
escalón más bajo de la organización, también llamados
“muleros”.

Para protegerse ante los

ataques de phishing, las
reglas de oro son la
4 Los intermediarios retiran efectivo de sus cuentas y
lo ingresan en las cuentas de los ciberdelincuentes,
quedándose para ellos la parte pactada.
lógica y sentido común.
1.7 PREVENCIÓN DE ATAQUES
La gestión de riesgo
La gestión de riesgo permite establecer, analizar, evaluar y clasificar el riesgo para, de este modo,
poder implementar las medidas necesarias para mitigarlo o eliminarlo.
La gestión del riesgo se divide en distintas fases dependiendo de los procesos y la metodología que se
utilice. Las fases más comunes, tal como muestra INCIBE (Instituto Nacional de Ciberseguridad de
España) son:

◉ Definir el alcance: se establece el alcance del análisis: qué departamentos de la

empresa, qué procesos, sistemas o instalaciones pueden verse afectados.

◉ Identificar los activos: es necesario

identificar y clasificar todos los activos que
debemos tener en cuenta (información, bases de
datos, documentos, servidores, routers,
terminales, etc.).
◉ Identificar las amenazas: en esta fase se deben encontrar todas las amenazas que
puedan afectar o estén afectando a cada uno de los activos seleccionados en la fase anterior.

◉ Identificar vulnerabilidades y salvaguardas: identificar las vulnerabilidades que

podemos encontrar en los activos, analizando las posibles medidas de seguridad que ya deben estar
implementadas para salvaguardar dichos activos.
◉ Evaluar el riesgo: tras recabar la información en las fases anteriores, se puede realizar el
análisis del riesgo. En esta fase es necesario realizar una valoración de la probabilidad de que
suceda una amenaza para un activo determinado y el impacto que esto tendría de manera particular
y global.
◉ Tratar el riesgo: en último lugar, será necesario tratar los riesgos, e identificar aquellos que
superen el umbral de seguridad establecido. La empresa debe establecer la necesidad de realizar
un tratamiento de aquellos riesgos que superen un cierto valor o nivel.
Al gestionar el riesgo hay que tomar decisiones y estas se
resumen en:
Transferir: derivar el riesgo a terceros. Un caso habitual es la contratación de seguros.
Eliminar: destruir el activo o proceso implicado en el riesgo; por ejemplo, suspender la
conexión a internet. Sin embargo, en la mayoría de casos, eliminar un activo o proceso no suele ser
la opción más adecuada.
Asumir: en algunas situaciones, aunque deben
ser muy estudiadas y fundadas, se puede tomar la
decisión de asumir el riesgo y no llevar a cabo ningún
tratamiento. Esto puede ocurrir cuando el coste de
realizar otro tipo de acción no es factible. Es crucial
valorar adecuadamente el impacto del riesgo si
llegase a materializarse.

Mitigar: esta debería ser la decisión más común.

Por ejemplo, si implementamos una correcta política
de cifrado de datos, en caso de que no exista,
estaremos contribuyendo a mitigar el riesgo.
La gestión del riesgo debe incluir obligatoriamente un plan de revisión habitual.
Los riesgos en la ciberseguridad son elementos vivos y cambiantes; por tanto, continuamente
aparecen nuevas vulnerabilidades. Los activos rotan y se actualizan constantemente. Por otro
lado, debemos tener en cuenta que la obsolescencia de los equipos y sistemas es elevada.
RUNDO

Á R B O L D E ATA Q U E
Es importante para la ciberseguridad de cualquier empresa
hacer un análisis del riesgo con el que se puedan detectar las
vulnerabilidades existentes en el sistema y, así, poder minimizar
los riesgos asociados a las amenazas dirigidas hacia dichas
Introducción vulnerabilidades.
Es entonces cuando surge la posibilidad del uso de un árbol de
ataque. Este será una buena forma de detectar los riesgos
asociados a las amenazas existentes hacia nuestra empresa y
poder establecer unos mecanismos de prevención.
RUNDO

Por lo tanto, un árbol de ataque es un modelo de la realidad simplificado.

Una representación gráfica de las acciones que se llevarían a cabo para
realizar un ataque y cómo dichas acciones están relacionadas entre sí. Así
podremos saber cómo defendernos frente a un ataque.
Para realizar nuestro árbol de ataque debemos “convertirnos” en el enemigo
de nuestra propia empresa, ponernos en el lugar de nuestro atacante y
“pasarnos al lado oscuro de la fuerza” por un momento.

Pero, ¿de quién fue la idea de convertirse en Darth Vader

por un momento?
En 1999, Bruce Schneier, experto criptógrafo, popularizó la representación
gráfica de los ataques.
RUNDO

Representación y elementos del árbol de ataque

Nos encontraremos con distintas representaciones de los árboles de ataque,
pero la básica se representa mediante una estructura en forma de árbol
compuesta por:

Nodo raíz
Situado en la parte superior del árbol y
representado por un círculo, será el
objetivo del ataque.
DESFIGURACIÓN
Algunos objetivos de ataque pueden ser: obtener O DEFACEMENT
credenciales bancarias, desfiguración o defacement
de una web o cualquier intento de obtener
información confidencial.
RUNDO

Nodos
Representan las acciones que hay que
llevar a cabo para realizar el ataque y que DESFIGURACIÓN
O DEFACEMENT
tendrán una forma cuadrada. Estos
cuadrados se complementarán con datos
de la acción, es decir, cualquier
información que se considere INSTALAR TROYANO
importante.
Abandonar USB
Como, por ejemplo, el cálculo de la probabilidad de
Lugar: puerta principal
que ocurra. Ejemplos de acciones son: llamada a la
Coste: 100€
víctima suplantando alguna identidad, enviar un
email o directamente enviar un troyano.
RUNDO

Relaciones
Como la propia palabra indica, las relaciones muestran cómo
se conectan las diferentes acciones entre ellas.
Su representación se realiza a través del uso de puertas lógicas,
existiendo 3 tipos de relaciones:

Relación secuencial: se representa mediante una flecha y es

aquella en la que no se puede realizar la siguiente acción si
previamente no se ha realizado la anterior.

ACCIÓN 1 ACCIÓN 2 ACCIÓN 3 OBJETIVO

RUNDO

Relación AND: cuando para que se pueda llevar a cabo una

acción se deben cumplir necesariamente una serie de
acciones previas.

ACCIÓN 1
ACCIÓN 3 OBJETIVO
ACCIÓN 2
RUNDO

Relación OR: cuando para que se pueda llevar a cabo una

acción, se pueden cumplir solo alguna de acciones previas.
Solo con que se cumpla una de las acciones posteriores, ya se
puede pasar a la siguiente acción.

ACCIÓN 1
ACCIÓN 3 OBJETIVO
ACCIÓN 2
RUNDO

Gracias a esta representación, podremos después

establecer las contramedidas necesarias para
evitar que se lleven a cabo las distintas acciones.
1.8 RESPUESTA A CONTINGENCIAS
Las medidas de seguridad a aplicar
dependerán del tipo de sistemas a
proteger, de la información que
contienen, de las condiciones
particulares de cada emplazamiento y de
las amenazas a las que se exponen.

¡Vamos a verlas!
Medidas básicas
Control de acceso a la información.

Copias de seguridad.

Cifrado de la información

Desechado y reutilización de soportes y equipos

Almacenamiento en la nube

Confidencialidad en la contratación de servicios

Control de acceso
a la información.
El principio de mínimo privilegio debe ser
el elegido por cualquier organización.
El usuario solo debe tener acceso, únicamente, a
aquella información que le sea fundamental para
la realización de sus funciones.
Copias de seguridad.
Las copias de seguridad son la medida fundamental
para proteger la información.
Los procedimientos, soportes a utilizar y la frecuencia en
la realización de las copias de seguridad dependerán tanto
del tamaño como de las necesidades de la organización.
Algunos de estos soportes que pueden utilizarse son:

USBs y Discos duros Almacenamiento

Discos duros de equipos de copias en la
portátiles específicos nube
 Vídeo copias de seguridad
https://player.vimeo.com/video/338685781?h=eb27acc0c2
Cifrado de la
información.
Para evitar que los datos sean legibles para cualquier
usuario ajeno, mediante técnicas de codificación, se
oculta la información de una organización.
Estas técnicas se utilizan para la transmisión y
almacenamiento de información sensible, especialmente en
los dispositivos móviles.
Desechado y reutilización
de soportes y equipos.
Con la finalidad de proteger la información, al
eliminar o reutilizar los soportes de almacenaje de
información de la organización, se debe aplicar las
medidas de seguridad necesarias para evitar la
recuperación de dicha información.
No deberíamos olvidarnos de la información que tenemos
en papel. Esta debe ser desechada adecuadamente.
 Vídeo borrado del disco duro
https://player.vimeo.com/video/339054070?h=7813d54202
Almacenamiento
en la nube.
Diferentes proveedores de internet ofrecen
el almacenamiento en la nube.
Sus principales características son el acceso remoto
desde cualquier dispositivo y lugar y la
transparencia.
 Vídeo el uso del sistema cloud
https://player.vimeo.com/video/320154058?h=63df5eca74
Confidencialidad en la
contratación de servicios.
Cualquier externalización de servicios puede añadir
riesgos para la seguridad de la información, ya que
los diferentes proveedores tendrían acceso a los
datos de la organización.
La medida que reduce el impacto de este riesgo, aunque
nunca lo elimina, sería la firma de contratos de
confidencialidad o la inclusión de cláusulas al efecto en el
contrato de servicio. Este hecho adquiere especial
relevancia al externalizar la gestión de datos de carácter
personal, donde este acuerdo de confidencialidad ya es un
requisito legal obligatorio.
 ¡Enhorabuena!
Has conseguido superar la primera unidad. Continúa con
el curso para… ¡Ser el mejor en la planificación de la
seguridad informática en tu empresa!